PROTECCIÓN DE DATOS EN TIEMPOS DEL COVID-19. ¿CÓMO SE ABORDAN LOS DATOS SENSIBLES DE SALUD EN UNA PANDEMIA?

En este tiempo, varias disciplinas y varios profesionales se han tenido que enfrentar día a día a sus consecuencias y efectos, pasando por diversas soluciones y decisiones.

Si bien, que el campo de la Protección de datos no haya estado en la diana para abordar la crisis (por razones obvias) no significa que no haya quedado exento de problemas e implicaciones.

Por ello, el objetivo de nuestro artículo es no olvidar la materia, y aportar algo de luz sobre cómo el COVID-19 ha influido en ella.

Por suerte, a día de hoy existen medios tecnológicos que permiten sobrellevar con progreso esta crisis sanitaria.

Los gobiernos de China y Corea del Sur, Italia y EEUU (dejando por analizar cuestiones geopolíticas de lado) parecen tenerlo claro: el enemigo es el virus y uno de nuestros mejores aliados la tecnología.

Así la tecnología, a priori y con buena fe, diríamos que puede considerarse como un recurso aliado de cualquier país para combatir el virus. Ocurre que de dicha tecnología no depende la buena fe sino de la manera en que nosotros, los humanos, hagamos buen uso de ella.

En este sentido, encontramos en el sistema y la regulación de protección de datos ciertas pautas de ayuda y cumplimiento.

En China y Corea del Sur los ciudadanos insertaban datos en una App y un código QR les mostraba un color en función del riesgo que tenían de contraer el virus.

Otra interesante acción ha sido (por España, Italia, Alemania, Reino Unido o Malasia) compartir por una empresa llamada “ESRI” un mapa de datos a organismos públicos y privados (OMS, Gobiernos, Policía y hospitales…) que ayuda al conocimiento de las zonas vulnerables, de concentración de gente, etc.

En definitiva, varios países han implementado “sistemas de control” mediante smartphones.

Y los smartphones no son los únicos protagonistas, la inteligencia artificial también ha cobrado un papel importante.

En varios puntos (aeropuertos, centros de servicios…) se han implementado sistemas automatizados para monitorizar la temperatura. Al igual que otro sistema para diferenciar entre pacientes con coronavirus y pacientes con neumonía ordinaria mediante el escáner de tomografías por ordenador.

Todos estos sistemas tienen algo en común, por un lado, asegurar el cumplimiento de las medidas de movilidad en el estado de alarma. Por otro, el resultado de una geolocalización y/o seguimiento de los ciudadanos que plantea varios problemas y escenarios.

En este marco, en España, el día 27 de marzo, se comunicó la Orden SND/297/2020, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19[i].

Esas diversas actuaciones son principalmente tres: aplicaciones, asistente conversacional para ser utilizado vía WhatsApp y otras aplicaciones de mensajería instantánea o páginas web.

Todas ellas implican un tratamiento de datos con el fin (sin perjuicio de otras competencias de Administraciones Públicas) de ayudar en la gestión de esta crisis sanitaria. 

En particular, a efectos de geolocalización solo va a poder facilitarse el número de teléfono móvil. Y en concreto, respecto la movilidad, la aplicación solo va poder verificar si se encuentra en la comunidad autónoma que dice estar la persona, siendo el cruce de datos de los operadores móviles de forma agregada y anonimizada.

Esta Orden debemos acompañarla del comunicado sobre apps y webs de autoevaluación del Coronavirus de 26 de marzo de 2020 por la Agencia Española de Protección de Datos (AEPD)[ii].

Por otro lado, ya es noticia la actualización del sistema operativo que propone Google y Apple implementar en los próximos meses.

La ventaja de dicho sistema es eliminar la barrera que supone para el ciudadano la descarga de la App (la cual muchas veces no realiza por diversos motivos), además de la existencia de una unificación global por la interoperabilidad internacional en sí del sistema. Pero, por otro lado, la desventaja aparece cuando debido al sistema de funcionamiento de las actualizaciones el ciudadano está desprovisto del conocimiento de adquisición o instalación de las mismas.

En cualquier caso, se prevé que funcione mediante Bluetooth, no GPS, registrando una serie de códigos generados entre personas y alojados en un servidor que permita comunicarnos si en alguno de esos códigos se ha detectado con un infectado.

Dicho todo lo anterior, no hay que pasar por alto que el funcionamiento de todos estos métodos big data se debe en gran parte al trabajo de compañías de telecomunicaciones, pues son las que facilitan los datos a las autoridades competentes en el tratamiento de los datos, a saber: sanitarias y autonómicas.

En resumen, la geo-localización, identificación, o cualquier otra medida de control mediante la obtención de datos personales y no personales está resultando de gran utilidad a la hora de un alcanzar un objetivo: frenar los contagios. Pero… ¿se está logrando alcanzar el cumplimiento del Reglamento General de Protección de Datos mediante el uso de la tecnología? ¿Hasta dónde llega la frontera entre salud y privacidad?

Como punto de partida, es necesario aclarar que la declaración del estado de alarma (incluso si dado el caso: de sitio o excepción) que propugna el artículo 116 de la Constitución no supone la suspensión del derecho a la protección de datos. Principalmente por dos razones, la primera, porque deriva del artículo 18.4: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. La segunda, porque no se encuentra en el escenario del artículo 55 de la Constitución respecto a la suspensión de derechos y libertades.

Consecuentemente no cabe pensar que el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19[iii] y la Ley Orgánica 4/1981, de 1 de junio, de los estados de alarma, excepción y sitio, sean incompatibles con la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos y garantía de derechos digitales[iv].

Esta idea anterior se ve apoyada por la declaración del 19 de marzo de 2020 -Statement on the processing of personal data in the context of the COVID-19 outbreak- del Comité Europeo de Protección de Datos respecto al tratamiento de los datos personales en esta crisis sanitaria[v].

La presidenta de la Junta, Andrea Jelinek, manifestó que las normas de protección de datos no obstaculizan las medidas adoptadas en la lucha contra la pandemia del coronavirus, siendo el responsable del tratamiento el garante de la protección de los mismos mediante la adopción de una serie de consideraciones.

Por tanto, se trata de alcanzar un equilibrio entre las medidas de esta crisis sanitaria y los tratamientos de datos afectados por ellas. En los artículos 6 (licitud del tratamiento) y 9 (tratamiento de categorías especiales de datos personales) del Reglamento (UE) 2016/679, de 27 de abril –conocido como Reglamento General de Protección de Datos (RGPD)[vi]- encontramos la clave.

A la luz de su artículo 6 se permite procesar datos personales sin la necesidad de obtener el consentimiento del interesado cuando el procesamiento sea necesario por razón de interés público, por protección de interés vital o por otra obligación legal.

Sin embargo, el artículo 6 no especifica sobre qué tipo de datos descansa esta licitud de tratamiento.

En el caso que nos ocupa son datos de la salud, datos considerados sensibles. Este tipo de datos nos remite al artículo 9 del Reglamento que, si bien prohíbe el tratamiento de los mismos sin consentimiento de su titular en su apartado primero, ya en el segundo estable las excepciones a dicha prohibición.

Las excepciones que se contemplan son cuando el tratamiento sea necesario para:

1.- “el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social” (art.9.2 b).

2.- “para proteger intereses vitales del interesado o de otra persona física” (art.9.2 c).

3.- “por razones de un interés público esencial” (art.9.2 g).

4.- “para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social” (art.9.2 h).

5.- “por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios” (art.92. i).

En la misma línea, el Comité Europeo de Protección de Datos destaca el artículo 15 de la Directiva 2002/58/CE sobre privacidad electrónica permite a los Estados miembros introducir medidas legislativas para salvaguardar la seguridad pública. Sería el caso también del tratamiento de datos de telecomunicaciones, ejemplo: dato de ubicación del individuo.

Todo lo referido sin perjuicio de adoptar los requisitos de necesidad y de proporcionalidad, así como los Derechos Fundamentales y Humanos.

De hecho, la declaración del Comité puntualiza que deberá limitarse estrictamente a la duración de la emergencia en cuestión y a fines específicos y explícitos. Y en todo caso, las autoridades públicas deben en primer lugar tratar de procesar los datos de ubicación de forma anónima, es decir, procesar los datos agregados de manera que los individuos no puedan ser reidentificados. Prosigue en señalar que los interesados deben recibir información sobre las actividades de tratamiento que se están llevando a cabo (características, periodo de retención de datos…). También señala que se deben de adoptar medidas de confidencialidad que garanticen que los datos personales no se divulguen a partes no autorizadas.

Respecto al ámbito laboral, la declaración del Comité Europeo llama a la aplicación de la legislación nacional, indicando que los empleadores deben informar al personal sobre los casos COVID-19 y tomar medidas de protección, sin comunicar más información de la necesaria ni exigirla directamente al empleado.

En el caso de que sea necesario revelar el nombre de los empleados que tengan el virus, se les informará previamente protegiendo su dignidad e integridad.

De este modo, se llama a los empleadores a obtener información en la medida que sea necesaria para cumplir con las obligaciones y organización del trabajo, de acuerdo con los principios de minimización y proporcionalidad de datos.

Por otro lado, en el marco nacional, la Agencia de Protección de Datos española emitió el pasado 12 de marzo un informe que analiza el tratamiento de datos personales en relación con la situación derivada de la extensión del virus COVID-19[vii]. Y más tarde publicó de forma clara y práctica un documento de respuestas a las principales preocupaciones y confusiones suscitadas.

El informe resalta los artículos 6.1 (letras c, d y e) y 9.1, 9.2 (letras b, c, g, h, i) ya contemplados a nivel europeo en el RGPD.

Coherente con la normativa europea también recuerda el Considerando 46 del RGPD: “El tratamiento de datos personales también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física. En principio, los datos personales únicamente deben tratarse sobre la base del interés vital de otra persona física cuando el tratamiento no pueda basarse manifiestamente en una base jurídica diferente. Ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación, o en situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano”.

No obstante, el informe va más allá de lo anunciado por el marco comunitario.

Toma en consideración la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales. En ella se subrayan las obligaciones que deben de adoptar tanto empresario como trabajador garantizando la salud y la seguridad.

Así, por un lado, el empresario tiene la obligación de respetar el artículo 32 del RGPD para el tratamiento de los datos implicados. Y, por otro, el trabajador tiene la obligación de informar de inmediato a su superior, otros trabajadores o servicio encargado de las actividades de protección y de prevención sobre el contacto que presente con el virus.

Aparte, para enfrentarnos a esta emergencia sanitaria, el legislador español se puede valer de otras como: la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública (modificada mediante Real Decreto-ley 6/2020) y la Ley 33/2011, de 4 de octubre, General de Salud Pública.

El artículo 3 de la primera Ley señala: “con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.”

En definitiva, las autoridades sanitarias de las diferentes administraciones públicas serán competentes para decidir lo que crean necesario, así como para dar instrucciones al responsable del tratamiento de los datos de salud implicados.

De esta manera, en el caso de España, el Ministerio de Sanidad y las Consejerías de Sanidad de las Comunidades Autónomas, así como otros empleadores o entidades privadas (siguiendo las instrucciones de las primeras) serían partes legitimadas por razón de interés público (epidemia) y protección de interés vital (salud).

Para ello es aconsejable revisar la guía para pacientes y usuarios de la sanidad así como las recomendaciones para proteger los datos personales en situaciones de movilidad y teletrabajo. Ambos documentos accesibles en la página web de la AEPD.

Finalmente (y oportuno a modo resumen) vamos a sintetizar las respuestas que aportó la AEPD a las siguientes consultas de ciudadanos y empresas obligados al cumplimiento de la normativa en esta crisis sanitaria[viii].

A la pregunta de si los empresarios pueden tratar la información de personas trabajadoras infectadas por coronavirus, la AEPD responde:

Sí, pero con limitaciones. Limitaciones: preguntas limitadas a indagar sobre el estado del trabajador (síntomas, diagnostico o si está sujeta a cuarentena). Además, no se admiten cuestionarios de salud extensos y detallados o con preguntas no relacionadas.

A la pregunta de si se puede transmitir esa información al personal de la empresa, la AEPD responde:

Sí, pero con la limitación de no identificar a la persona afectada salvo que lo requieran las autoridades competentes, en particular las sanitarias.

En cuanto a si se puede pedir a las personas trabajadoras y visitantes ajenos a la empresa datos sobre países que hayan viajado anteriormente, o si presentan sintomatología relacionada con el coronavirus, la AEPD contesta:

Sí, pero con la limitación de “preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad”. Además, no se admiten cuestionarios de salud extensos y detallados o con preguntas no relacionadas.

En cuanto a la cuestión de si el trabajador tiene obligación de informar a su empleador en el caso de estar en cuarentena preventiva o afectada por el coronavirus, la AEPD contesta:

Sí. Los trabajadores deberán informar a su empleador y al servicio de prevención o, en su caso, a los delegados de prevención. De encontrarse en situación de baja por enfermedad no tendrá la obligación. En el caso en el que esté en situación de baja por enfermedad no tiene obligación de informar sobre la razón de la baja a la empresa, sin embargo, esto puede ceder en situaciones de pandemia.

Por último, a la consulta de si el personal de seguridad puede tomar la temperatura a los trabajadores con el fin de detectar casos, la AEPD publica lo siguiente:

Al ser una cuestión que corresponde a la vigilancia de la salud de los trabajadores, cae en la esfera de la Ley de Prevención de Riesgos Laborales. En cualquier caso, debería ser realizada por personal sanitario.

La respuesta afirmativa a todas las preguntas reside en el siguiente fundamento: asegurar la protección de la salud del resto del personal y del lugar del trabajo evitando los contagios y la propagación.

Por último, pero no menos importante, no debemos olvidar la aplicación del artículo 5 del RGPD. En él se exponen los principios del tratamiento de los datos personales, a saber: licitud, lealtad, transparencia, limitación de la finalidad, exactitud, minimización de datos, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva.

De hecho, la AEPD hace hincapié en este punto, y no es de extrañar, porque actúa como eje fundamental a la hora de tratar y facilitar datos.

El principio de limitación de la finalidad hay que ponerlo en relación con el Considerando 54 del RGPD: “este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines”.

En conclusión, el hecho de que el RGPD haya dado margen a los Estados Miembros es razonable. Cada país presenta circunstancias y características diferentes, que sumadas a un panorama sin precedentes (al menos en nuestra época histórica) hacen difícil pensar que de manera eficiente y sensata se hubieran podido instruir medidas uniformes y sincronizadas.

El reto es mantener el equilibrio entre la gestión de la situación de esta crisis sanitaria con los principios básicos de tratamiento de datos mencionados.

REFERENCIAS:

[1] https://www.boe.es/buscar/act.php?id=BOE-A-2020-4162

2 https://www.aepd.es/es/prensa-y-comunicacion/notas-de-prensa/aepd-apps-webs-autoevaluacion-coronavirus-privacidad

3 https://www.boe.es/diario_boe/txt.php?id=BOE-A-2020-3692

4 https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673&p=20181206&tn=2

5 https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_es

6 https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32016R0679&from=ES

7 https://www.aepd.es/es/documento/2020-0017.pdf

8 https://www.aepd.es/sites/default/files/2020-03/FAQ-COVID_19.pdf